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2. Natureza: 

2.1 Invengao □ 2.1.1. Certificado de Adigao □ 2.2 Modelo de Utilidade 



Escreva , obrigatoriamente e por extenso, a Natureza desejada: INVENgAO . 
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SISTEMA DE CONTROLS DE ACESSO A SERVI£OS DE 
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SISTEMA DE CONTROLE DE ACESSO A SERVIQOS DE INFORMAQAO 
BASEADO EM ASSINATURA DE HARDWARE E SOFTWARE DO 
DISPOSITIVO SOLICITANTE 

A presente Invengao refere-se a dispositivos computacionais ou com 
5 capacidade computacional para identificagao e autorizagao de acesso. 

Mais particularmente, a presente Invengao e particularmente aplicavel no 
acesso a informagoes sensiveis e confidenciais tais como acessos via Internet 
a contas bancarias, acesso seguro a paginas eletronicas para transagoes 
comerciais (e-commerce), acesso a intranet de uso confidencial em ambientes 
1 0 empresariais, etc. 

ANTECEDENTES DA INVENQAO 

Sao conhecidos diversos dispositivos e configuragoes de seguranga 
relatives a acessos e operagoes eletronicas e via internet. A necessidade de 
seguranga tern que ser constantemente revista em fungao do avango nos 

1 5 recursos utilizados para burlar sistemas e fraudar acessos eletronicos a internet 
banking e compras por meios eletronicos. Em paises como os EUA, o rigor na 
coibigao de atos criminosos praticados por hackers da a exata dimensao da 
importancia deste crescente ramo de atividade comerciaL Muitas operagoes 
online ou via internet contam com niveis de seguranga que se baseiam na 

20 maior complexidade das formas de acesso a servigos eletronicos de carater 
particular ou que sejam confidenciais. Entretanto, esta maior complexidade 
acaba por causar uma dificuldade ao usuario legitimamente habilitado em 
acessar tais servigos e, portanto, a perda de comodidade do usuario, 
conjugada com outros fatores, gerou urn crescimento aquem do esperado das 

25 operagoes eletronicas. 

Outros sistemas de seguranga aparentemente mais rigorosos tais como 
os dos auto-servigos bancarios sao um exemplo do que foi acima exposto. 
Servigos de acesso domestico atuam de maneira unilateral como se apenas o 
usuario enxergasse o servigo. O reconhecimento a partir do usuario mostra-se 
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bastante limitativo em fungao da susceptibilidade do rastreamento de senhas a 
partir do acesso de um usuario qualquer. Esta forma de correspondencia 
umvoca facilita a fraude por parte dos hackers seja por meio de clonagem das 
senhas, seja por clonagem dos enderegos acessados. 
5 Como exemplo da tecnica, o documento irlandes 83221 refere-se a 

meios de identificagao unica de computadores e sistemas. A Invengao, em 
contraste, e capaz de criar assinaturas que identificam um dispositivo a partir 
de informagoes logicas e, em conjunto com uma estrutura umvoca e processos 
atinentes que a integram, proper um sistema que complementa ou substitui 
10 esquemas tradicionais de autenticagao. Ainda que assinaturas ou a ideia de se 
usar esquemas de positivagao estendida para dispositivos computacionais 
existam ha bastante tempo, a unidade de Invengao compreende o processo, 
i.e., arquitetura agente/servidor para complementar ou substituir esquemas de 
autenticagao. 

15 Assim, o que e reivindicado no documento 83221 compreende a criagao 

de uma assinatura unica para um dispositivo (onde um dispositivo representa 
um processador ou um conjunto de processadores formando uma rede) 
baseada nas distribuigoes estatfsticas de tempos de resposta e outras metricas 
de identificagao fisica dos mesmos, com propositos que podem ou nao servir a 

20 esquemas convencionais de autenticagao. Algumas formas logicas tambem 
sao utilizadas no processo de identificagao proposto neste documento de 
patente, porem ao contrario da lnvengao, estas formas logicas sao usadas de 
maneira complementar as fisicas, nao sendo suficientes para criar a 
identificagao unica de um dispositivo proposta no documento 83221 . Ainda que 

25 a partir do documento 83221 seja posslvel criar ou complementar esquemas de 
autenticagao, nao e objetivada, nem o seu conteudo contemplaria, diretamente, 
a criagao de um processo assemelhado. O que se objetiva no documento 
83221 e criar, ou pretender criar, uma identificagao unica para um dispositivo. 

Este tambem e o caso da publicagao da Microsoft®: PRODUCT 

30 ACTIVATION FOR WINDOWS XP-TECHNICAL MARKET BULLETIN. Esta 



publicagao versa sobre formas de validagao de programas WINDOWS XP em 
equipamentos de maneira a evitar a copia ilegal (pirataria) ou mesmo a 
aquisigao de produtos fraudulentos. As configuragoes dispostas para tanto 
tambem sao de carrier univoco, de alguma complexidade para o usuario 
5 comum, o qua! seria inibido de praticar atos fraudulentos. 

DESCRIQAO SUMARIA DA INVENQAO 

A presente Invengao e uma tecnologia utilizada para aumentar 
substanciaimente a seguranga num processo de autenticagao para acessar 
uma pagina de Internet, Intranet, ou qualquer outro tipo de servidor 

10 computacional ou servigo de informatica que possa requerer autenticagao 
segura. Qualquer urn destes servigos sera citado doravante como "SERVIQO". 
A autenticagao passa a incluir urn processo conjugado ao perfil de configuragao 
de hardware e software de um dispositivo, perfazendo uma asslnatura deste 
dispositive Esta assinatura sera referenciada doravante como "ASSINATURA". 

15 Sempre que um usuario tentar acessar um SERVIQO que esteja 

utilizando a Invengao para autenticagao, a ASSINATURA decorrente da 
configuragao do dispositivo de onde ele esta tentando acessar o SERVIQO e 
verificada e comparada com uma lista de ASSINATURAS de dispositivos 
autorizados. Se a ASSINATURA do dispositivo corrente corresponder 

20 exatamente a uma das ASSINATURAS previamente cadastradas, o usuario 
conseguira acessar o SERVIQO. Caso contrario, ele sera submetido a 
positivagao estendida ou tera acesso negado, dependendo das opg5es de 
seguranga previamente escolhidas. No caso de ser submetido a positivagao 
estendida, se a identificagao for bem sucedida, ele conseguira acessar o 

25 SERVIQO e podera, opcionalmente, incluir o dispositivo presente na lista das 
ASSINATURAS cadastradas para a sua conta. Se a identificagao nao for bem 
sucedida, o usuario nao conseguira acessar a conta. 

A Invengao pode ser usada como um processo de autenticagao 
complementar a outro processo de autenticagao pre-existente (autenticagao 
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por identificador de usuario e senha, por exemplo) de forma a aprimorar a sua 
seguranca. Alternativamente, a Invencao tambem pode ser utilizada de forma a 
substituir urn processo de autenticacao. Isto pode ser usado, tipicamente, no 
caso de apiicacoes menos senslveis, tal como a identificacao perante urn portal 

5 ou provedor de acesso. 

Cabe salientar que a Invencao e capaz de realizar esta identificacao sem 
a necessidade de instalacao de qualquer outro componente adicional de 
hardware ou software, tais como cartoes de identificacao (smart cards), placas 
de identificacao, etc. Portanto, a Invencao permite o reconhecimento da 

10 ASSINATURA de urn dispositivo simplesmente a partir de seus componentes 
de hardware e software usuais instalados. 

Urn maior detalhamento sera proporcionado em termos de uma das 
aplicac5es que podem ser atribuidas a presente lnvengao, entretanto esta 
descricao nao e limitativa do escopo presentemente reivindicado. 

1 5 DESCRIQAO DAS FIGURAS 

A Figura 1 e urn diagrama que ilustra o funcionamento basico da 
presente Invencao; 

A Figura 2 e urn diagrama que ilustra o processo de remocao de 

ASSINATURAS; 

20 A Figura 3 e urn diagrama representativo do processo de desativacao de 

uso do sistema por urn usuario. 

DESCRICAO DETALHADA DA INVENCAO 

Arquitetura do sistema 

A presente Invencao foi concebida para operar em urn ambiente 
25 computacional distribuido que pode ser implementado atraves da Internet ou 
em uma rede computacional interna. Ele e constituido de tres componentes 

basicos: 

a) Urn Agente Coletor; 
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b) Urn Servidor de Autenticagao; 

c) Um Servigo disponivel via rede que requeira autenticagao. 

O Agente Coletor e um programa que permite inventariar informagoes de 
hardware e software de urn dispositive Ele e a pega chave para obter os dados 
5 que irao compor a ASSINATURA do dispositivo. O Agente Coletor precisa estar 
instalado ou ser baixado e instalado no dispositivo (preferencialmente, usando 
tecnicas de distribuigao via Web que baixam um programa e o executam num 
unico passo, por exempio, ActiveX ou plug-in de browser), atraves da Internet 
ou de uma rede interna, para dar initio ao processo de identificagao de 

10 ASSINATURA. 

O Servidor de Autenticagao e um servidor computational que recebe a 
ASSINATURA coletada por um Agente Coletor, confronta-a com um conjunto 
de ASSINATURAS autorizadas e autoriza ou nao uma tentativa de acesso a 
um SERVIQO. O Servidor de Autenticagao precisa estar conectado numa rede 

15 interna ou atraves da Internet ao dispositivo sujeito a autenticagao de 
ASSINATURA para que o processo de autenticagao da lnvengao consiga 
funcionar. Ele e, portanto, um sistema de autenticagao online. 

O Servidor de Autenticagao tern uma fungao tanto interativa como de 
arrnazenamento. Ele interage com o Agente Coletor e o SERVIQO provendo a 

20 autenticagao do acesso. Aiem disto, ele funciona como um repo'sitorio das 
ASSINATURAS cadastradas bem como do historico de tentativas de acesso 
(bem sucedidas ou nao) de cada usuario ao SERVIQO. 

O SERVIQO e uma pagina de Internet, Intranet, ou qualquer outro tipo 
de servidor computacional ou servigo de informatica que possa requerer 

25 autenticagao segura. A lnvengao pode atuar em complementagao a outras 
formas de autenticagao ou procedimento de seguranga ja utilizado pelo 
SERVIQO, como uma pre-identificagao. Por exempio, pode ser usada para 
impedir o uso do SERVIQO a partir de um dispositivo cuja ASSINATURA nao 
seja reconhecida e cadastrada, mesmo que uma outra pre-identificagao 

30 consiga ser feita de forma bem sucedida por outros processos de uso 
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concomitante (impedir o acesso mesmo que urn usuario preencha um 
identificador e uma senha de acesso corretos). 

Modo de funcionamento 
O funcionamento do sistema da presente Invengao e exemplificado 
5 pelos passos descritos abaixo: 

1 ) Um usuario tenta acessar o SERVIQO submetido a autenticagao 
da Invengao. Visto que a mesma pode conviver com outras formas de 
autenticagao, o usuario podera se submeter a este tipo de identificagao ou 
seguranga complementar, como se fosse uma pre-identificagao, caso seja 

10 necessario. Exemplos tipicos de processos de pre-identificagao e seguranga 
complementar sao: preenchimento de um identificador de conta e senha, 
verificagao de faixas de enderegos IP autorizados a acessar o SERVIQO, 
respostas a perguntas, sistfemas de protegao contra 'Yobos de software", eto- 

2) Se o usuario ainda nao registrou a ASSINATURA de dispositivo 
15 algum perante a Invengao, o usu&rio sera levado a uma pagina ou janela 

explicando o funcionamento da Invengao e explicando que ete sera submetido 
a um processo de cadastramento logo em seguida. 

a. Este passo pode ser impiementado de forma a ser opcional, caso 
o provedor do SERVIQO queira proporcionar ao usuario a opgao de acessar o 

20 SERVIQO usando ou nao a Invengao, sob sua propria responsabilidade. Neste 
caso, o usuario podera tambem tomar a iniciativa de desativar ou reativar o uso 
da Invengao quando desejado. Para reativar a mesma, o usuario devera se 
identiftcar de alguma forma (por meio de identificador e senha, resposta a 
perguntas, etc). Recomenda-se so permitir desativar a Invengao a partir do 

25 dispositivo que possui a ASSINATURA ativa mais antiga cadastrada na conta 
do usuario ja que esta ASSINATURA e geraimente considerada a mais 
confiavel. 

3) Uma vez que o usuario concorde com o uso da Invengao, ele 
devera permitir que o Agente Coletor seja baixado e instalado no seu 

30 dispositivo, a nao ser que o Agente Coietor ja tenha sido instalado previamente. 
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.o Este passo devera ser repetido para cada dispositive que precise ser 
submetido ao processo de autenticagao da Invengao. 

4) Uma vez que o Agente Coletor esteja instalado no dispositivo do 
usu£rio, a Invengao ira identificar a sua ASSINATURA e submete-la ao 
5 cadastro de uso do SERVIQO. Tipicamente, o primeiro cadastramento nao 
requer autenticagao mais rigorosa. 

A ASSINATURA e composta a partir de dados coletados dos 
componentes de hardware e software do dispositivo. Ela ira identificar o 
dispositivo perante a Invengao sem a necessidade de instalagao de qualquer 
10 outro dispositivo suplementar, tal como urn cartao de identificagao (smart card). 

A identificagao de um dispositivo e feita por meio da detecgao e 
identificagao de componentes essenciais de hardware e software do 
dispositivo. A Invengao admite que alguns destes itens possam softer 
alteragoes incrementais sem que a ASSINATURA do dispositivo seja 
15 modificada. Entretanto, caso sejam efetuadas alteragoes profundas, a 
ASSINATURA sera alterada. Isto significa que o dispositivo passara a ser 
considerado como sendo outro, e nao sera reconhecido pelos SERVIQOS 
outrora acessados. Neste caso, o usuario devera recadastrar a nova 
ASSINATURA perante a Invengao. Cabe esclarecer tambem que alteragSes de 
20 componentes que nao sao considerados como essenciais podem ser feitas 
sem afetar a ASSINATURA. 

A ASSINATURA e composta de parcelas (hashes) concatenadas de 
informagoes oriundas dos componentes de hardware e software. Ela nao pode 
ser revertida para recompor as informagoes originais que foram usadas para 
25 cria-la, preservando, assim, a privacidade e seguranga do usuario. E 
recomendavel que a cada transagao, as hashes sejam concatenadas de forma 
diferente e submetidas a varias camadas de criptografia. Este procedimento 
protege ainda mais contra qualquer tentativa de se interceptar a comunicagao 
entre o dispositivo do usuario e o Servidor de Autenticagao e se tentar, pela 
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simples reprodugao dos dados transmitidos, se fazer passar por este 
dispositive. 

5) Se o usuario acessar o SERVIQO a partir de um dispositive nao 
cadastrado (desde que haja pelo menos um dispositivo previamente 
5 cadastrado), a Invengao apenas permitira'o acesso apos o uso de positivagao 
estendida (i.e. perguntas especificas alern do par usuario/senha). Se 
confirmadas as respostas, o usuario tera o acesso ao SERVIQO concedido, 
com a opgao de cadastrar (ou nao) a ASSINATURA do novo dispositivo, 
conforme a configuragao previamente escoihida. Caso a identiftcagao falhe, ele 
10 nao conseguira acessar o SERVIQO. 

a. Opcionalmente, caso o usuario ja tenha atingido uma determinada 
quantidade de ASSINATURAS cadastradas (definida conforme a 
implementagao), ele podera escolher se deseja limitar o numero de 
ASSINATURAS a esta quantidade ou nao. Alternativamente, pode se limitar o 

15 conjunto de assinaturas de forma a se criar um grupo fechado de dispositivos 
que podem acessar um SERVIQO atraves de uma determinada conta de 
usuario. Estas opgoes podem ser implementadas de forma a se tomar 
mandatorias, ou seja, o usuario so conseguir& cadastrar ASSINATURAS na 
sua conta ate um numero maximo ou apenas de dispositivos pertencentes a 

20 um determinado conjunto. 

b. Mesmo para o caso em que nao se admita o cadastro de 
ASSINATURAS adicionais, e possfvel, ainda assim, opcionalmente, se acessar 
o SERVIQO atraves de um dispositivo nao cadastrado mediante o uso de 
positivagao estendida. De qualquer forma, a ASSINATURA deste dispositivo 

25 NAO podera ser adicionada ao conjunto de ASSINATURAS ja existente. Nesta 
situa?§o, o acesso ao SERVIQO, a partir deste dispositivo, e efetuado 
estritamente sob carater "avulso" e provisorto. 

c. Opcionalmente, tambem e possivel se estipular o numero maximo 
de vezes que uma ASSINATURA pode estar presente para diferentes usuarios 

30 do servigo. Este numero maximo pode, inclusive, ser igual a zero. Nesta 
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situagao, o dispositivo em questao e considerado como "malicioso" e passa a 
fazer parte de uma lista de exclusao contendo dispositivos que nao estao 
autorizados a se autenticar perante a Invengao. 

6) Sempre que julgar necessario, o usuario podera remover as 
ASSINATURAS cadastradas na sua conta: Recomenda-se que o processo de 
remogao de ASSINATURAS seja sempre feito a partir de urn dispositivo 
considerado mais seguro ou confiavel, o qual e, tipicamente, um dispositivo 
cadastrado na conta ha mais tempo. Desta forma, o usuario so podera remover 
uma dada assinatura se estiver operando a partir de um dispositivo cuja 
ASSINATURA tenha sido cadastrada ANTES da ASSINATURA que esta sendo 
removida. Recomenda-se tambem que a ASSINATURA de cadastro mais 
antiga de todas so possa ser removida a partir do proprio dispositivo da 
mesma. 

7) Uma vez que o usuario passe a acessar a pagina reguiarmente 
por meio da Invengao, a mesma estara capacitada a prover informag5es sobre 
todos os acesso ou tentativas de acesso a conta do usuario. Este historico sera 
armazenado mesmo que o usuario decida desativar, ainda que 
temporariamente, a utiiizagao do sistema da presente Invengao. 



REIVINDICAQOES 

1- Sistema de identificagao de dispositivos e contnole de acesso de 
usuarios e dispositivos a services de inforrnagao, sem a necessidade de uso de 
biornetria ou dispositivos como smart cards, baseado na geragao de uma 
5 ASSINATURA para cada dispositivo * e em processos autorizativos 
caracterizado por compreender: 

Coieta de dados dos dispositivos a partir da execugao de urn Agente 
Coletor para a geragao de uma ASSINATURA, onde o Agente Coietor pode 
estar integrado ao processo original de acesso a urn SERVIQO; o Agente 
1 0 Coletor processa dados de configuragoes de hardware e software coietados do 
dispositivo, e disponibiliza a ASSINATURA atraves do uso de hashes que se 
alteram a cada acesso; e 

Envio de uma ASSINATURA irreversivel do dispositivo, utilizando varias 
camadas de criptografia no envio da mesma para o Servidor de Autenticagao. 

1 5 2-Sistema, de acordo com a reivindicagao 1 , caracterizado pelo fato de 

que a criagao e envio de uma ASSINATURA compreende uma das etapas de 
uma arquitetura ("framework") de processos autorizativos a firn de permitir (ou 
negar) o acesso do dispositivo aos SERVIQOS, em que: 

L o acesso a um Servidor de Autenticagao que recebe e verifica a 

20 ASSINATURA, confrontando-a com o repositorio de ASSINATURAS 
cadastradas; 

//. o Servidor de Autenticagao e capaz de, baseado em 
configuragoes do usuario ou do provedor do SERVIQO, conforme o caso: 

a) identificar se o dispositivo foi inciuldo em uma iista de 
25 exclusao {blacklist) para fins de cadastramento e/ou acesso ao 

SERVIQO; 

b) criar um grupo fechado de dispositivos (closed group) que 
pode acessar o SERVIQO, impedindo o acesso ao SERVIQO a partir de 
outros dispositivos; 



c) criar um grupo fechado de dispositivos (closed group) 
impedindo o cadastramento de dispositivos adicionais; 

d) permitir um numero maximo de cadastramentos para um 
dispositivo unico, onde a situacao descrita no item "a" acima 
corresponde a um numero maximo igual a zero; 

e) descadastrar um dispositivo; 

f) cadastrar dispositivos adicionais; 

///. o Servidor de Autenticacao e capaz de, independentemente de 
configurac5es do usuario ou provedor do SERVIQO: 

a) permitir modificacoes incrementais nas configuragoes de 
hardware e software de um dispositivo ja cadastrado sem que as 
mesmas impossibilitem (I) o acesso do mesmo ao SERVIQO; ou (il) o 
reconhecimento de um dispositivo inclufdo numa iista de exclusao; 

b) uma vez concedido o acesso, atualizar as ASSINATURAS 
modificadas nos termos do item anterior; 

c) submeter um dispositivo ja cadastrado que tenha sofrido 
modificacoes substanciais nas suas configuragoes de hardware e 
software ao mesmo tratamento conferido a dispositivos nao cadastrados; 

d) registrar todos os acessos ou tentativas de acesso de um 
dispositivo ao SERVIQO, mantendo o registro mesmo na hfpotese de 
desativacao do uso ou descadastramento de um dispositivo; 

e) impedir que um usuario, a partir de um dispositivo 
hierarquicamente inferior, i.e., cujo cadastramento tenha ocorrido por 
ultimo, descadastre um dispositivo hierarquicamente superior, i.e., cujo 
cadastramento tenha ocorrido primeiro; 

f) impedir que um usuario, a partir de um dispositivo 
hierarquicamente inferior, i.e., cujo cadastramento tenha ocorrido por 
ultimo, desabilite a Invengao; 
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fV. Para o primeiro acesso de um usuario previamente identificado, 
onde nao ha dispositivos cadastrados: 

a) o Agente Coletor cria uma ASSINATURA para o dispositivo 
conforme descrito na reivindicacao 1 ; 
5 b) o Servidor de Autenticaisao verifica o parametro listado no 

item it. "a", 

c) o Servidor de Autenticacao verifica os parametros listados 

nositens//. "c"e "d".; 

d) com base na anuencia do usuario, a ASSINATURA e 
10 cadastrada, o dispositivo e incluido no grupo autorizado e o usuario tern 

acesso ao SERVICO; 

e) se o item "b" acima nao for satisfeito, o acesso ao 

SERVICO e negado; ' 

v. Para os acessos subsequentes de um usuario previamente 
1 5 identificado a partir de um dispositivo ja cadastrado: 

a) o Agente Coletor cria uma ASSINATURA para o dispositivo 
conforme descrito na reivindicagao 1 ; 

b) o Servidor de Autenticacao reconhece a ASSINATURA, 
autorizando o acesso ao SERVIQO em caso de sucesso; 

20 vi. Para os acessos subsequentes de um usuario a partir de um 

dispositivo nao cadastrado: 

a) o Agente Coletor cria uma ASSINATURA para o dispositivo 

conforme descrito na reivindicagao 1 ; 

b) o Servidor de Autenticacao verifica os parametros listados 

25 no item ii"a"e"b";e, 

c) aplicam-se as etapas descritas nos itens iV "c" e "d", 

d) se o item "b" acima nao for satisfeito, o acesso ao 
SERVICO e negado. 

3-Uso de um sistema de identificacao de dispositivos para controie de 
30 acesso de usuarios e dispositivos a servigos de informagao sem a necessidade 
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de uso de biometria, ou dispositivos como smart cards, de acordo com as 
reivindicacoes 1 e 2, caracterizado por compreender: 

Coleta de dados dos dispositivos a partir da execucao de urn Agente 
Coletor para a geragao de uma ASSINATURA digital, onde o Agente Coletor 
5 pode estar integrado ao processo original de-acesso a urn SERVIQO. O Agente 
Coletor processa dados de configurates de hardware e software coletados do 
dispositivo, e disponibiliza a assinatura atraves do uso de hashes que se 

alteram a cada acesso; e 

Criacao e envio de uma ASSINATURA irreversivel do dispositivo, 
10 utilizando varias camadas de criptografia no envio da mesma para o Servidor 
de Autenticacao. 

4- Uso de urn sistema de identificacao de dispositivos para controle de 
acesso de usuarios e dispositivos a servicos de informacao sem a necessidade 
de uso de biometria, ou dispositivos como smart cards, de acordo com a 
1 5 reivindicacao 3, caracterizado por compreender: 

/. o acesso a urn Servidor de Autenticacao que recebe e verifica a 
ASSINATURA, confrontando-a com o repositorio de assinaturas cadastradas; 

//. o Servidor de Autenticacao e capaz de, baseado em 
configurates do usuario ou do provedor do SERVIQO, conforme o caso: 
20 a) identificar se o dispositivo foi incluido em uma lista de 

exclusao {blacklist) para fins de cadastramento e/ou acesso ao 
SERVIQO; 

b) criar urn grupo fechado de dispositivos {closed group) que 
pode acessar o SERVIQO, negando o cadastro de outros dispositivos ou 

25 o acesso ao SERVIQO a partir de outros dispositivos; 

c) criar urn grupo fechado de dispositivos {closed group) 
impedindo o cadastramento de maquinas adicionais; 

d) permitir urn numero maximo de cadastramentos para urn 
dispositivo unico, onde a situacao descrita no item "a" acima 

30 corresponde a urn numero maximo igual a zero; 
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e) descadastrar urn dispositivo; 

f) cadastrar dispositivos adicionais; 

in. o Servidor de Autenticacao e capaz de, independentemente de 
configurates do usuario ou provedor do SERVIQO: 
5 a) permitir modificagoes incrementais nas configuracoes de 

hardware e software de um dispositivo ja cadastrado sem que as 
mesmas impossibilitem (I) o acesso do mesmo ao SERVICO; ou (II) o 
reconhecimento de um dispositivo incluido numa lista de exclusao; 

b) uma vez concedido o acesso, atualizar as ASSINATURAS 
1 0 modificadas nos termos do item anterior; 

c) submeter um dispositivo ja cadastrado que tenha sofrido 
modificac5es substanciais nas suas configuracoes de hardware e 
software ao mesmo tratamento conferido a dispositivos nao cadastrados; 

d) registrar todos os acessos ou tentativas de acesso de um 
15 dispositivo ao SERVIQO, mantendo o registro mesmo na hipotese de 

desativacao do uso ou descadastramento de um dispositivo; 

e) impedir que um usuario, a partir de um dispositivo 
hierarquicamente inferior, i.e., cujo cadastramento tenha ocorrido por 
ultimo, descadastre um dispositivo hierarquicamente superior, i.e., cujo 

20 cadastramento tenha ocorrido primeiro; 

f) impedir que um usuario, a partir de um dispositivo 
hierarquicamente inferior, i.e., cujo cadastramento tenha ocorrido por 
ultimo, desabilite a Invencao; 

iv. Para o primeiro acesso de um usuario previamente identificado 
25 onde nao ha dispositivos cadastrados: 

a) o Agente Coletor cria uma ASSINATURA para o dispositivo 

conforme descrito na reivindicagao 1 ; 

b) o Servidor de Autenticacao verifica o parametro listado no 

item ii. "a"; 



6/6 ' • ; : ;• . 

c) o Servidor de Autenticacao verifica os parametros listados 

nos itensii. "c"e "</".; 

d) com base na anuencia do usuario, a ASSINATURA e 
cadastrada, o dispositivo e incluido no grupo autorizado e o usuario tem 

5 acesso ao SERVIQO; 

e) se o item "b" acima nao for satisfeito, o acesso ao 

SERVIQO e negado; 

v. Para os acessos subseqiientes de um usuario previamente 
identificado a partir de um dispositivo ja cadastrado: 
1 0 a) o Agente Coletor cria uma ASSINATURA para o dispositivo 

conforme descrito na reivindicacao 1 ; 

b) o Servidor de Autenticagao reconhece a ASSINATURA, 
autorizando o acesso ao SERVIQO em caso de sucesso; 
w. Para os acessos subseqiientes de um usuario a partir de um 

15 dispositivo nao cadastrado: 

a) o Agente Coletor cria uma ASSINATURA para o dispositivo 

conforme descrito na reivindicacao 1 ; 

b) O Servidor de Autenticacao verifica os parametros listados 

no item ii"a"e"b",e, 
20 c) aplicam-se as etapas descritas nos itens iV "c"e •"(/"; 

d) se o item "b" acima nao for satisfeito, o acesso ao 
SERVIQO e negado. 



1/3 




SERVigO 
atravesdabivencSo 
com &rito. 




SERVICO acessado com extfo e 
nova ASS1NAT URA.cadastrada. 



SERVIOO acessado com extto sem 
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FIG. 1 

Ofas. Nas figuras 1, 2 e 3, O termo "Identificagao" se refere a positivagao estendida. 
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FIG. 2 
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SISTEMA DE CONTROLE DE ACESSO A SERVIQOS DE INFORMAQAO 
BASEADO EM ASSINATURA DE HARDWARE E SOFTWARE DO 
DISPOSITIVO SOLICITANTE 

A presente Invengao refere-se a dispositivos computacionais ou com 
5 capacidade computacional para identifica9§o*e autentica?§o de acesso. 

Mais particularmente, a presente Invengao e aplicada no acesso a 
informagoes sensiveis e confidenciais tais como acessos via internet a contas 
bancarias, acesso seguro a paginas eletronicas para transagSes comerciais (e- 
comrnerce), acesso a intranet de uso confidential em ambientes empresariais, 
10 etc. 



